Diego Giorio

Lasciapassare A38/ Sicuri che siamo sicuri?

di D. Giorio - La Pubblica Amministrazione italiana non è al riparo dagli attacchi informatici: il programma nazionale per la sicurezza informatica va affiancato a una presa di coscienza

Roma - Di recente molti quotidiani a larga tiratura hanno parlato di spionaggio e cybercrime, portando all'attenzione delle masse un argomento spesso relegato ad analisi specialistiche, o classificato come seccatura se qualche collega un po' paranoide fa presente che forse non è una buona idea tenere la password su un post-it appiccicato al monitor.
Anche La Repubblica, oltre che i siti di informazione specializzata come Punto Informatico, ha parlato del rapporto CLUSIT, che fotografa una situazione non troppo incoraggiante relativamente alla situazione della sicurezza informatica in Italia, e che ci vede, per la prima volta, entrare nella lista dei primi dieci Paesi sotto attacco.

A ben vedere, però, si tratta di una notizia positiva: il fatto che risultiamo così appetibili agli hacker implica che l'utilizzo delle nuove tecnologie è cresciuto, per cui noi Italiani non risultiamo più così insignificanti come prima. Lo stesso si può dire per il Ministero degli Esteri a guida Gentiloni, che sarebbe stato attaccato da hacker russi. La notizia, rimbalzata su tutti i giornali, mi ha reso fiero del mio Paese: il fatto che in Russia sappiano chi è Gentiloni e che si interessino all'Italia non può che riempire di orgoglio patrio! Battute a parte, il primo concetto che si insegna in una scuola di giornalismo è che un cane che morde un uomo non fa notizia, un uomo che morde un cane sì. Ora, lo scopo per cui i servizi di intelligence esistono è precisamente quello di fornire informazioni a chi deve prendere decisioni. Mi sembra dunque assolutamente normale che la CIA, il FSB (come si chiama ora il KGB) e gli altri grandi servizi delle varie nazioni cerchino di spiare il nostro Stato, come - spero - i nostri apparati cercano di fare con i loro rispettivi governi. È così da millenni e ritengo ipocrita far finta di indignarsi quando qualcuno viene pescato con le mani nella marmellata.

Il rumore attorno agli attacchi informatici, veri o presunti, è però l'occasione per fare il punto sulla sicurezza degli Enti Pubblici, più o meno esposti ad un attacco. Normalmente gli attacchi informatici si possono distinguere in varie tipologie:
- Attacchi mirati, per ottenere informazioni.
- Attacchi mirati, per ottenere denaro.
- Attacchi "a strascico", di solito per ottenere denaro.
- Attacchi, di solito mirati, per mostrare di essere in grado di violare le difese o per azioni dimostrative.
Da questa lista appare chiaro che nessun Ente può sentirsi al riparo: un piccolo Comune difficilmente potrà essere oggetto delle attenzioni di un'agenzia di spionaggio, ma più di un collega si è trovato col sistema bloccato da un ransomware. Né i dati conservati dall'anagrafe o dell'ufficio tecnico sono da considerarsi totalmente disprezzabili da parte di qualche malintenzionato. Pensiamo poi a cosa potrebbe significare un attacco riuscito ad un Ente più grande, ad esempio al sistema di pagamento dell'INPS: se un hacker riuscisse a sostituire gli IBAN dei milioni di pensionati con il proprio, magari di una banca alle Cayman, potrebbe tranquillamente sparire e sistemarsi per la vita prima che le rogatorie internazionali possano raggiungerlo.

Occorre dunque fare il possibile per proteggersi, ma questo richiede conoscenza, prima ancora che denaro. Molti Comuni utilizzano antivirus gratuiti: la scelta non è solo di tipo economico, dato che, per quanto i bilanci siano sempre critici, i pochi euro di un prodotto a pagamento si possono di solito trovare, quanto perché l'hardware non è potentissimo ed i software più blasonati tarpano il sistema, mentre gli altri sono più leggeri. Il che significa, per contro, che sono anche meno performanti.

Il secondo problema deriva dal fatto che un Ente Pubblico riceve qualunque tipo di richiesta, e non è quindi possibile escludere a priori determinati mittenti o aree geografiche: spesso, soprattutto dal Brasile e dall'Argentina, privati cittadini residenti all'estero, con account Gmail, Hotmail o altri gestori locali, chiedono informazioni sui loro avi, e non è quindi insolito ricevere messaggi sospetti, con l'oggetto in italiano approssimativo, che in realtà si rivelano richieste assolutamente legittime, alle quali occorre dare corso.
Oltretutto i malware, o nello specifico i criptovirus, si nascondono di solito dentro messaggi apparentemente ragionevoli: ad esempio, ho scritto ad un fornitore per una richiesta di preventivo, il giorno dopo mi ha risposto con "re: richiesta di preventivo" e poche ore dopo mi è arrivata un'altra mail con lo stesso oggetto e lo stesso nominativo nella prima parte dell'indirizzo, contenente un link molto sospetto; per fortuna sono abbastanza consapevole ed attento da accorgermi che la seconda parte dell'indirizzo mail era anomala, ma fossi stato un po' più di fretta o un po' meno esperto ci sarei caduto abbastanza facilmente. Oltretutto significa che o il mio indirizzo o quello del mio corrispondente erano tenuti d'occhio.
Meno attento e fortunato è invece stato il mio collega del protocollo, il servizio più esposto, che ha aperto una mail apparentemente contenente una fattura e si è trovato il computer bloccato. Tuttavia il sistema è complessivamente robusto, il NAS è basato su un diverso sistema operativo ed ha un accesso limitato, il router è stato spento immediatamente per evitare la diffusione nella rete, ed alla fine l'unica perdita è stata quella di un file compilato pochi minuti prima, facilmente ricostruibile. Sul momento mi è preso un colpo ma, tutto sommato, sono stato contento di aver verificato che il sistema ha retto all'involontario stress test, pur riconoscendo che il fattore fortuna ha anche aiutato.

Non che il sistema privato sia esente da rischi: a parte tutti i malware, i ransomware e lo spam lanciati in modo massivo da quei cracker che fanno pesca a strascico, il conto bancario di una ditta ed i suoi segreti industriali sono certamente appetibili: dal progetto di un prodotto in sviluppo ai costi operativi, una qualunque impresa, anche piccola, può essere interessante per la concorrenza.

Se globale è il problema, globale deve essere la ricerca di soluzioni, per cui i sistemi operativi moderni nascono già robusti e facilmente aggiornabili, per quanto possibile, tuttavia nulla si può fare se l'utente non collabora: dall'attenzione agli aggiornamenti ad un po' di sana diffidenza verso qualunque messaggio insolito, dalla conservazione accurata delle password al loro aggiornamento periodico. Per non parlare dei sistemi di backup, di disaster recovery, dei firewall fisici o di supporti di emergenza fisicamente disconnessi dalla rete.
Tutti oggetti che costano e che devono essere gestiti, ma che soprattutto rischiano di diventare inutili se la sicurezza non è generalizzata e se quindi il problema arriva non da un esterno anonimo, ma da un interno che inserisce una chiavetta non controllata o da un Ente "amico", che è stato autorizzato ad accedere alle nostre banche dati in modo diretto, come auspicato dall'art. 43 D.P.R. 445/00. Per non parlare di un Comune che dalla sua PEC, regolarmente registrata presso indice PA, sta diffondendo il cryptolocker, mascherato da richiesta di certificato anagrafico, con tanto di firma del Segretario Comunale. Poiché non voglio nemmeno pensare che siano i colleghi ad aver architettato la truffa (né che, nel caso, siano così stupidi da attuarla dal proprio account di posta), devo concludere che un Comune attaccato da un malintenzionato stia creando problemi a tutta Italia. Come sempre, nessuna catena è più forte del più debole dei sui anelli.

Di tutte queste problematiche sembrano finalmente essere consapevoli anche ai piani alti, per cui il Governo è stato incaricato di varare il nuovo piano nazionale sulla cybersecurity: speriamo che tra i tanti Enti coinvolti, le crisi politiche e l'ormai consolidata abitudine di emanare tutti i decreti "senza oneri aggiuntivi per il bilancio dello Stato" non resti un monumento alle buone intenzioni.

Diego Giorio
Notizie collegate
  • SicurezzaCLUSIT, un 2016 di mancata sicurezzaIl Rapporto CLUSIT mostra come le contromisure arranchino sempre rispetto alle offensive, in continua crescita. Con picchi nel social engineering, a dimostrazione del fatto che l'anello debole resta l'uomo
  • AttualitàCybersicurezza, il nuovo piano italianoSi aggiorna il programma nazionale per la sicurezza informatica: saranno coinvolti aziende e mondo della ricerca, mentre le istituzioni si riorganizzano per agire in maniera più coordinata ed efficace
  • AttualitàFarnesina attaccata da hacker russi? Il Cremlino nega le accuseL'account di posta elettronica di Paolo Gentiloni, all'epoca dei fatti ministro degli esteri, sarebbe solo uno dei tanti account violati. Gli inquirenti indagano. A rischio vi sarebbero la sicurezza nazionale e la stabilità internazionale
  • SicurezzaCassandra Crossing/ Difendiamo la SPID3Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle insicure password si può cercare di snaturarlo
  • AttualitàLasciapassare A38/ Tanti auguri telematicidi D. Giorio - Auguri come auspici per la digitalizzazione della Pubblica Amministrazione: quello che si è conquistato nel 2016, quello che accadrà nel 2017
5 Commenti alla Notizia Lasciapassare A38/ Sicuri che siamo sicuri?
Ordina
  • Solo degli scapppati di casa potrebbero avere interesse nel hackerare la PA italiana.
    iI programma nazionale per la sicurezza informatica va affiancato a una presa di coscienza del fatto che l'italia è un paese finito.
    Amen
    non+autenticato
  • Pensa alla possibilità di togliere ogni alert per posizioni fiscali dubbie, ottenere documenti validi d'ogni sorta, scoprire attività di concorrenti ecc.

    A tantissimi soggetti interessano eccome vulnerabilità di qualsiasi PA informatizzata.
    non+autenticato
  • Pensate alla facilità d'un tempo di falsificare documenti: qualsiasi verifica che trascendesse l'oggetto fisico (iow la "bontà apparente del documento") richiedeva tempi tali da essere in molti casi impossibile. Banalmente un poliziotto non poteva verificare la patenti di chi fermava, idem alla frontiera un passaporto ecc.

    La differenza con l'informatica moderna è il fattore di scala: un tempo potevi falsificare "facilmente" alcune tipoligie di documento ma non colpire in massa un paese. Potevi rapinare una banca e sparire più facilmente (niente telecamere, allarmi automatici, sistemi di tracciamento vari ecc) ma non potevi mandare in tilt le banche o peggio i sistemi di pagamento elettronico di un paese. Potevi fare un attentato e sparire più facilmente, ma non potevi mandare in tilt i treni, i semafori o gli acquedotti d'un intero paese ecc.

    Lo stato presente è di "insicurezza intermedia", non abbiamo quasi nessuna soluzione informaticamente decentemente sicura ma abbiamo praticamente tutti i settori critici su tecnologie obsolete non facilmente attaccabili per loro natura. Per il futuro ovviamente lo scenario non è certo buono. Si vuole andare in direzione opposta a quella che potrebbe esser opportuna (centralizzare vs distribuire, privatizzare vs render pubblico ecc)...
    non+autenticato
  • per quanto possibile, tuttavia nulla si può fare se l'utente non collabora: dall'attenzione agli aggiornamenti ad un po' di sana diffidenza verso qualunque messaggio insolito, dalla conservazione accurata delle password al loro aggiornamento periodico

    No, non è appellandosi alla diffidenza che si risolvono i problemi. Kevin Mitnick ci insegna che in una maniera o nell'altra un utente che si può fregare lo trovi. Client di posta che aprono gli allegati appena apri una mail, programmi di Office che eseguono script senza controlloare la provenienza dei documenti, browser che eseguono qualunque porcata che si trova al link chiamato. Sono gli strumenti che devono essere corretti. Bisogna smetterla di trattare gli utenti come idioti e pretendere di fare pure il caffè per loro. La storia che bisogna facilitare tutto in modo che sia eseguibile con un solo click va trattata come un insulto. E se gli utonti odierni non riescono a capire queste cose almeno dovrebbero insegnarle nelle scuole, sperando che le prossime generazioni vengano su meno vulnerabili.
    non+autenticato
  • - Scritto da: hnujbfhgt
    > Sono gli strumenti che devono essere corretti.
    > Bisogna smetterla di trattare gli utenti come
    > idioti e pretendere di fare pure il caffè per
    > loro.
    La storia che bisogna facilitare tutto in
    > modo che sia eseguibile con un solo click va
    > trattata come un insulto.

    Concordo talmente con quanto hai scritto che evidenzio in grassetto una tua frase.

    Sono vent'anni (e non esagero) che contesto la visione secondo cui "usare un computer deve essere facile quanto maneggiare un videoregistratore", visto che la stragrande maggioranza della gente non ha mai saputo usare manco quello, visto che non ne ha mai manco aperto il manuale.


    > E se gli utonti odierni non riescono a capire queste
    > cose almeno dovrebbero insegnarle nelle scuole, sperando
    > che le prossime generazioni vengano su meno
    > vulnerabili.

    Non c'è alcuna possibilità, al momento.

    Le generazioni attuali mancano delle competenze informatiche base indispensabili per svolgere con profitto un qualsiasi lavoro, soprattutto all'interno della PA.

    Quello che le generazioni attuali non conoscono, non possono insegnare, e le generazioni future non impareranno se non male e/o a proprie spese.

    E prima di perdere tempo con commissioni e indagini, sarebbe NECESSARIO pretendere e VERIFICARE il possesso e l'uso di tali competenze informatiche - se non sbaglio, era previsto nella legge finanziaria dello scorso anno per i dirigenti pubblici, prima di sparire nel nulla...